Esta vulnerabilidad apodada como Ghostcat ha sido registrada como CVE-2020-1938. El fallo permite la lectura de ficheros arbitrarios en el servidor a un usuario no autentificado, de esta manera se podrían leer ficheros de configuración o el código de la aplicación hospedada en el servidor web. Incluso en el caso de existir un uploader en la web, sería posible ejecutar código remoto, Henry Chen (@chybeta) nos muestra una pequeña demo en su twitter de como funciona.
El fallo se encuentra en el protocolo Apache JServ Protocol (AJP) -es una versión optimizada del protocolo HTTP para permitir que Tomcat se comunique con el servidor web Apache- y surge del manejo inadecuado de uno de sus atributos. Este protocolo viene habilitado por defecto en el puerto TCP 8009, vinculado a la dirección 0.0.0.0.
Es muy importante actualizar lo antes posible a la última versión ya que su explotación es trivial, ya que hay publicadas varias PoC (1, 2, 3, 4 y muchas más que van apareciendo). Es posible que actualmente esté siendo explotado en internet.
Fuente: Ghostcat | Tenable | Hispasec
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!